无线校园网一体化认证方案分析

　　目前大部分校园网都已经部署了完善的认证计费系统，建设无线校园网之后，如何在保证用户使用方便性的前提下实现有线和无线用户采用同样的认证系统，同样的用户数据?用户需要提供一体化认证方案来解决这些问题。

　　校园网认证的现状

　　多数高校的有线网络都是采用的收费策略是校园网和教育网包月，出Internet和国际按照流量收费。这种情况下，有线网络的认证流程是：

　　A.用户插上网线系统自动检查用户的IP、MAC等绑定关系，或者客户端自动启动802.1x认证，如果用户不欠费，用户可以正常获得IP，可以不受限制的访问校园网和教育网;

　　B. 当用户有去往Internet或者国际的流量时，出口计费网关弹出认证页面，用户输入正确的用户名后可以访问Internet和国际网段;

　　C. 整个过程只有在用户流量出Internet时才需要用户输入用户名和密码进行确认，操作十分简洁。

　　图1 校园网中有线认证流程

　　无线校园网认证遇到的问题

　　当用户建设了无线校园网后，由于无线介质的开放性和终端的漫游特性，导致无线无法向有线网络那样实现用户、IP、MAC、端口的绑定，因此在接入无线网络时如果不对用户进行认证，就无法确定用户的身份，出现问题也就无法定位到用户，因此和接入有线网络不同，用户接入无线网络时必须先进行认证，然后用户才能访问网络资源，这样就存在如下问题：

　　A.无线网络能否和有线网络使用同样的用户名密码?

　　B. 增加了接入无线网络的认证后，用户是否仍然使用相同的一次认证流程?

　　一体化认证

　　1. 统一身份认证

　　有线和无线统一身份问题，分三种情况：

　　第一种情况：学校有专门的认证计费服务器，用户数据存储在认证服务器中。这种情况下，无线系统和有线系统都通过标准的Radius协议和认证计费系统来进行用户名密码的验证，由于二者采用相同的服务器和数据库，很容易实现有线和无线统一用户名和密码;

　　第二种情况：学校使用专门的计费网关，用户数据存储计费网关的数据库中，计费网关同时完成用户流量采集和用户认证计费工作。这种情况下，由于计费网关没有和其他系统对接，因此无法确保计费网关采用的协议能够和无线系统能够实现完全互通，这种情况下，需要计费网关和无线系统之间实现对接，有可能需要双方修改软件才能完成。

　　第三种情况：学校已经推广一卡通系统，用户数据存储在一卡通系统中。这种情况下，有线的计费网关和无线设备都需要和一卡通系统实现对接。由于大部分一卡通系统都是基于LDAP协议(Lightweight Directory Access Protocol, 轻型目录访问协议)，在IBM、HP、Sun的相关平台上开发或者包装而成，因此需要无线系统支持通过LDAP协议完成对用户的认证。目前只有部分厂家无线系统支持使用LDAP协议进行用户接入认证，部署无线系统时需要确认。

　　总之，目前有线和无线实现统一身份认证并不是一件很困难的事情，根据用户使用系统的不同，实现方法会有所不同，但整体来说，方法不外乎以上几种。

　　2. 统一认证流程

　　无线接入和有线接入能否实现相同的接入流程?目前大多数学校都没有实现无线接入的一次认证，而是采用二次认证流程：

　　A. 用户连接到无线网络后获取用户名和密码，但此时用户不能访问任何网络资源，用户输入任何URL都会被重定向到认证页面，提示用户输入用户名密码;

　　B. 用户输入正确的用户名密码后可以访问校园网和教育网的资源;

　　C. 当用户有去往Internet或者国际的流量时，出口计费网关弹出认证页面，用户输入正确的用户名后可以访问Internet和国际网段;

　　图2 无线校园网二次认证流程

　　整个过程需要两次相同的用户名和密码，给用户使用带来了极大的不便，因此大多数学校希望能够在确保安全性的条件下简化无线使用流程，实现有线和无线统一的一次认证流程。

　　如果用户有线认证没有采用专门的客户端，而是基于Web Portal方式，实现一次认证就相对简单：

　　A. 用户在做无线网络的接入认证时，无线系统推送认证页面，用户输入用户名密码等信息后无线系统获取这些信息;

　　B. 无线系统不直接把用户名、密码等信息送给认证系统，而是送给计费网关;

　　C. 计费网关受到用户名和密码信息后在把用户名密码送给认证服务器;

　　D. 认证通过后认证系统把认证成功的信息发送到计费网关;

　　E. 计费网关把认证结果返回给无线系统的同时把用户名、IP标记为认证通过，开始计费;

　　F. 如果用户有流量出Internet，则由于计费网关已经有用户认证信息，不会重新进行认证，直接根据用户流量进行计费;

　　G. 如果用户没有流量出Internet，则由于没有流量，不会对用户实际产生计费。

　　H. 用户正常下线时，无线系统通知计费网关停止计费，计费系统根据用户实际流量生成帐单。

　　图3 基于Web Portal方式的无线校园网一次认证流程

　　这种方案要求计费网关能够支持Radius代理，同时不能因为用户长时间没有流量而认为用户超时退出。

　　如果用户有线认证采用了专门的客户端，那么客户端和计费网关之间往往都采用私有协议，如果要实现使用客户端进行一次认证，则必须实现计费客户端和无线系统之间的协议对接，由于要进行私有协议的对接，需要考虑厂家是否能够开放接口和对接的具体工作量，如果无法承受，建议放弃客户端方式，而采用Web Portal方式。

　　总结

　　综合以上分析，有线无线实现一体化认证已经有先例可循，但很多情况下，需要计费网关厂家和无线厂家一起才能实现，因此，选择相关系统时，最好选用自主开发的系统才能更好的实现有线无线一体化认证。